Уведомление об утечке персональных данных по турецкому закону KVKK: обязанности компаний

Атака с применением программы-вымогателя, случайная отправка базы данных клиентов на чужой адрес электронной почты или утечка из системы стороннего подрядчика — каждый из этих инцидентов может повлечь обязательное уведомление в соответствии с турецким Законом о защите персональных данных (KVKK, Закон № 6698). В России схожие обязанности установлены Федеральным законом № 152-ФЗ «О персональных данных», однако турецкое регулирование имеет собственные особенности, прежде всего в части сроков и органов уведомления.

Правовая основа: статья 12 KVKK

Статья 12 KVKK закрепляет три ключевые обязанности оператора персональных данных: предотвращать незаконную обработку, незаконный доступ и обеспечивать сохранность персональных данных посредством надлежащих технических и организационных мер.

Пункт 5 той же статьи содержит норму об уведомлении: если персональные данные получены третьими лицами незаконным путём, оператор обязан незамедлительно уведомить об этом как субъектов данных, так и Совет по защите персональных данных (KVK Совет).

72-часовой срок уведомления

Решением KVK Совета № 2019/10 общая формулировка «незамедлительно» была конкретизирована: оператор обязан уведомить Совет в течение 72 часов с момента, когда ему стало известно об инциденте. Если уложиться в срок не удаётся, причина задержки должна быть указана при подаче уведомления. Уведомление субъектов данных также производится без неоправданной задержки с учётом тяжести последствий инцидента.

Для сравнения: российское законодательство обязывает операторов уведомлять Роскомнадзор в течение 24 часов с момента обнаружения инцидента, а субъектов данных — в течение 72 часов. Турецкий срок в 72 часа для регулятора соответствует стандарту GDPR.

Содержание уведомления в KVK Совет

Уведомление подаётся через электронную систему на сайте KVK Совета и должно содержать:

• Дату и время инцидента (если установлены)
• Количество пострадавших лиц и категории затронутых данных
• Возможные последствия нарушения
• Принятые или планируемые меры по устранению последствий
• Контактные данные ответственного за защиту данных (при наличии)
• Обоснование задержки уведомления (при наличии)

К уведомлению следует прилагать технические журналы, отчёты об инциденте и результаты криминалистической экспертизы.

Уведомление субъектов данных

Уведомлять субъектов данных необходимо в случаях, когда нарушение может повлечь высокий риск для их прав и свобод. Уведомление должно содержать описание произошедшего, перечень затронутых данных, принятые меры и контактную информацию оператора. Если индивидуальное уведомление практически невозможно, допускается публичное объявление.

Практический план реагирования на инцидент

1. Локализация инцидента. Изолируйте затронутые системы, заблокируйте скомпрометированные учётные данные, остановите утечку.
2. Документирование. Зафиксируйте, какие данные затронуты, сколько лиц пострадало и каким образом произошёл инцидент.
3. Оценка риска. Определите степень угрозы для прав субъектов данных — это определяет необходимость и объём уведомления.
4. Запуск 72-часового отсчёта. С момента получения информации об инциденте начинается срок. Немедленно обратитесь к юридическому консультанту.
5. Уведомление KVK Совета. Заполните форму с имеющимися сведениями, сообщите о пробелах для последующего дополнения.
6. Уведомление субъектов данных. Выберите канал с учётом уровня риска и имеющейся контактной информации.
7. Ведение записей. Зафиксируйте весь процесс реагирования — Совет вправе проводить проверки.

Административные штрафы

За нарушение требований к безопасности данных статья 18 KVKK предусматривает административный штраф в размере до двух миллионов турецких лир (сумма ежегодно индексируется). Нарушение обязанности уведомления образует самостоятельный состав нарушения и может повлечь дополнительный штраф.

Часто задаваемые вопросы

Нужно ли уведомлять Совет о каждом инциденте с данными? Нет. Уведомление обязательно только при наличии риска для субъектов данных. Низкорисковые инциденты следует документировать внутри компании, однако это решение должно быть письменно обосновано.

Распространяется ли KVKK на иностранные компании? Да, если персональные данные лиц в Турции обрабатываются в связи с предложением им товаров или услуг.

Можно ли сначала подать неполное уведомление? Да. KVK Совет принимает поэтапные уведомления — сначала имеющиеся сведения, затем дополнения.

Возможна ли уголовная ответственность? Да. Незаконный доступ или разглашение персональных данных преследуется также по статье 136 Уголовного кодекса Турции.

Нужно ли уведомлять и российского регулятора? Если данные субъектов из России обрабатываются параллельно, Роскомнадзор также может потребовать уведомления по российскому праву.

Чем может помочь Mona Hukuk

В кризисной ситуации каждый час имеет значение. Mona Hukuk помогает компаниям разработать протоколы реагирования заблаговременно и обеспечивает сопровождение при направлении уведомлений в KVK Совет, подготовке коммуникаций для субъектов данных и защите интересов в ходе административных расследований.

Свяжитесь с нами по адресу contact@monahukuk.com или позвоните +90 (242) 606 14 32.